2 Connaitre le Risk Management

Ca qu'il y a de bien avec le Risk Management, c'est que c'est une grande famille, et il y en a pour tous les goûts et tous les niveaux.


Voici, pour une double utilité (voir plus), des sites internet consacrés à la gestion des risques selon une spécialité :


1/ Gestion des risques Sécurité/Sureté/Santé/Environnement :

http://www.expertsdurisque.com/
=> Actualité, Informations diverses, offres d'emplois.

http://www.securiteprivee-enfrance.com/
=> Encore plus opérationnel, et encore plus sécurité.

http://www.hse.gov.uk/risk/
=> En anglais. Va dans le détail et donne des exemples pratiques.

http://www.epa.gov/nrmrl/
=>Risk Management Research. Recherche sur les risques liés à l'environnement par l'agence de protection de l'environnement US. Pas mal de ressources.


2/ Gestions des risques en Collectivité Territoriale :

http://www.publicgouvernance.com/
=> site d'un cabinet de consultants spécialisés mais qui informe aussi.



3/ Gestion des risques d'établissements financiers :

http://www.blogg.org/blog-55282.html

http://www.rmahq.org/RMA/
=> Association qui fait référence en la matière. Produisent un magazine.



4/ Financial Risk Management :

http://www.contingencyanalysis.com/
=> En anglais, mais présente des archives intéressantes.

http://www.garp.com/
=>Global Association of Risk Professionals. Va du magazine au passage de l'examen Financial Risk Manager pour une reconnaissance internationale des compétences.



5/ Gestion des risques dans les établissements de santé

http://www.sofgres.org/
=> Site de l'association SOFGRES, Actualité, Offre d'emplois

http://www.nhsla.com/RiskManagement/
=> Système de gestion des risques dans le secteur de la santé qui se fait en GB.


6/ Gestion de Crise

http://www.observatoire-crises.org/

http://www.communication-sensible.com/portail/

http://www.crise-presse-manager.fr/



7/ Gestion des Risques Juridiques

http://www.afje.org/index_flash.htm
=> Association Française des Juristes d'Entreprise qui organise des journées Risk Management

http://www.droit-ntic.com/news/afficher.php?id=229
=> Juste un article sur la gestion des risques centré juridique trouvé sur un site de droit. L'article ne parle cependant pas d'autres risques...

http://expert-mag.lentreprise.com/?Legal-Risk-Management-pour-une
=>Idem



8/ Gestion des risques Informatique et Réseaux :

http://www.vulnerabilite.com/
=> Parle peu de Risk Management. Sécurité Informatique surtout.



9/ Gestion des risques de transports de matières dangereuses (Logistique) :

http://hazmat.dot.gov/riskmgmt/risk.htm
=> Anglosaxon. Fourni allègrement les informations, très méthodique.



10/ Gestion des risques climatiques :

http://www.wrma.org/
=> Weather Risk Management Association.



11/ Risk Management global

http://www.theirm.org/
=> Site de l'Insitute of RIsk Management

http://www.rims.org/
=>Risk & Insurance Management Society. Beaucoup de postes proposés aux Etats Unis!!

http://www.rmia.org.au/
=>Risk Management Institution of Australasia. Toujours anglosaxon. On y trouve une revue et des opportunités. Mais pas agréable à lire, j'ai mal aux yeux maintenant...

http://www.arimi.org/arimi/index.html
=> Asian Risk Management Insitute. En bas à droite du site, petite rubrique d'articles, mais intéressant.

http://www.rmis.com/
=> Risk Management Internet Services. Librairie de risk management sur internet. On y trouve des documents variés et intéressants, mais pour accéder, cela demande un abonnement payant. A vous de voir...


https://acc.dau.mil/rm
=>Communauté axée autour des risques et leur gestion. Anglosaxon. Avec des possibilités de trouver de précieuses informations très très pratiques et opérationnelles. Il faut fouiller, mais très intéressant.

Voici le texte de présentation du site du CDSE : Club des Directeurs de la Sécurité d'Entreprise. Il présente le rapport qu'entretiennent les entreprises françaises vis à vis du risk management, mais sachez que cette vision du risk management n'est pas exclusive et exhaustive. Il s'agit d'une vision Sécurité/Sûreté du Risk Management. Il manque, je trouve, les aspects Finance/Assurance qui aurait donner une vision plus complète de la discipline.

On voit la différence avec l'AMRAE, partie sur des souches "Assurance".

Très intéressant également, je suis content de connaitre ce club, car en effet, personnellement et au vu des articles d'analyse et de reprise de faits d'actualité, je reconnais bien là ma motivation pour la gestion des risques, bien plus que sur des questions de gestion des risques financiers.

Donc, ok pour que la finance soit laissée de côté, mais pas l'assurance. C'est très très important de connaitre et de parler Sécurité/sureté en ayant à l'esprit les logiques et possibilités assurantielles. Car même si nous cherchons par notre démarche de risk manager d'en diminuer le recours, les assurances restent et continueront d'être essentielles.

Voici donc cette présentation, que vous trouverez également sur le site internet du CDSE. Je vous laisse en faire votre lecture.


"Dans sa recherche de compétitivité, l’entreprise moderne se trouve de plus en plus confrontée à des malveillances internes ou externes. Les stratégies de ripostes à mettre en place prennent diverses appellations : intelligence économique, sécurité, sûreté… qui démontrent en fait les incertitudes encore liées au phénomène.



Disons le de prime abord : si les entreprises françaises ont parfaitement rattrapé le retard historique qu’elles ont pu avoir sur leurs homologues anglo-saxonnes, il reste un domaine où elles manquent encore de maturité : celui de la protection de leurs intérêts vitaux à tous les stades de leur exercice. Ce fait est inquiétant en ces temps de globalisation galopante.



Face à ce qu’on peut appeler une quasi immunodéficience industrielle, comment mobiliser les énergies de tous les acteurs, publics et privés pour y remédier ? Comment aider et amplifier la mission exploratoire confiée au Haut Responsable de l’Intelligence Economique, Alain Juillet? C’est l’enjeu que s’est fixé le CDSE, présidé par François Roussely. Fort de professionnels dotés d’une solide expérience, ce Club entend promouvoir et faire évoluer la fonction sûreté des entreprises à travers la définition du référentiel métier, la mise au point de normes, formations et certifications, la communication sur les enjeux en cours avec toutes les parties prenantes, y compris au niveau européen, et la création d’un partenariat redéfini avec l’Etat.



Le CDSE dresse d’abord un constat objectif et non polémique. Si la sûreté d’entreprise n’est pas reconnue à sa juste place, cela provient en partie de la tradition française, seulement remise en cause récemment, d’exercice unilatéral de la sécurité par l’État. Il y a encore trop d’ignorance et de suspicion mutuelle entre ces deux acteurs sociaux. Le manque avéré de complémentarité n’a pas permis de faire émerger avec clarté un nouveau type de manager : le responsable sûreté/sécurité d’entreprise, avec un profil parfaitement identifié permettant de recruter des professionnels adaptés à la fonction. Pour l’instant ces missions sont encore séparées en différents pôles (assurance, informatique, conformité aux textes…), qui ne travaillent pas assez ensemble et ne voient pas ce qui les unit. D’où une perte significative d’efficacité dans les organisations.



La globalisation est le facteur déclenchant de la prise de conscience actuelle. Outre la vitesse de communication et sa démocratisation extrême, l’éclatement des notions de temps et d’espace, le fait le plus significatif de la mondialisation en cours est sans doute que c’est l’entreprise multinationale qui y joue le rôle inattendu de dénominateur commun. C’est elle en effet qui épouse le mieux la tendance de fond de ce mouvement : ignorer les frontières, pour mieux imposer ses produits certes, mais aussi des « binding rules », sortes de règles médianes applicables à tous quelles que soient les différences locales.



L’entreprise moderne est partout et nulle part à la fois. Elle est « glocale», globale et locale en même temps. Elle incarne une nouvelle sorte d’universalisme, y compris sur un plan moral, d’où la responsabilité sociale qu’elle endosse partout où elle se développe. D’où aussi l’apparition de nouvelles catégories de partenaires comme les stakeholders. L’entreprise s’organise en fonction de ces nouveaux défis : la manipulation et la circulation de l’information y deviennent essentielles, concurrençant ainsi l’Etat dont c’était auparavant l’apanage et qui n’est plus seul sur ce terrain. La notion de flux tendus remplace celle de stocks. On y parle de résilience, de cyndinique.. Autant de termes qui cherchent à décrire le fait qu’aujourd’hui on ne peut plus penser la sécurité/sûreté en termes de frontières mais d’ouvertures et de communication.



Autour d’un noyau dur de plus en plus restreint, l’entreprise d’aujourd’hui fait travailler dans le monde entier, grâce aux outils d’information, de multiples prestataires reliés en réseau. Prestataires dont la taille varie à l’infini, jusqu’à la personne physique isolée qui peut néanmoins disposer de l’ensemble du réseau de l’entreprise ainsi « étendue ». L’interdépendance des grandes, moyennes et petites entreprises n’a jamais été aussi forte en conséquence. Avec ce nouveau risque de voir une seule personne, par ses accès privilégiés, rendue capable de porter un préjudice extrême à toute une organisation mondiale. Forme de terrorisme qui montre que le 11 septembre n’était peut-être qu’une préfiguration de ce que serait demain si nous n’agissons pas pour doter le tissu entrepreneurial d’anticorps capables de détecter les attaques et d’y faire face.



Le CDSE se fixe comme premier but de participer à la création d’un référentiel métier clair sur ces thèmes. Il faut savoir quel est le périmètre exact de cette nouvelle fonction. La protection des personnes et des biens en premier lieu. Mais aussi une capacité de conduire des investigations et des recherches prospectives d’intelligence économique. Le lien avec la sécurité des systèmes d’information est évident. Reste à savoir si on souhaite y rattacher l’évaluation du risque matériel, l’assurance…Il faut déjà réfléchir à ces enjeux. Cela permettra de mieux choisir les hommes et femmes chargés de ces missions, de favoriser les passerelles et les mobilités dans tous les sens, y compris avec l’Etat car l’Etat et l’entreprise doivent s’enrichir par des échanges reflétant la chute de toutes les barrières et la mise en commun des intérêts mutuels.



Pour aboutir à ce référentiel « responsable de sûreté d’entreprise » et l’imposer peu à peu, il faut non seulement convaincre les l’entreprises de l’utilité de la fonction, mais également les agences de notation. Le but est de parvenir à faire de la sûreté d’entreprise une composante obligatoire des sociétés, avec des systèmes de certification à la clé qui restent à créer. Sans doute faut-il aussi en tirer toutes les conséquences en termes de recrutement et de formation, d’où le partenariat que le CDSE vient de valider avec l’IERSE. La recherche active d’un dialogue avec d’autres associations présentes sur le même terrain va dans le même sens. Les groupes de travail du CDSE explorent ces pistes.



Mais comment parvenir à ces buts sans l’aide d’un Etat prêt à jouer un rôle de second plan sans avoir le sentiment de se dévaluer ? Le CDSE veut participer au dialogue qui va s’ouvrir pour la refonte des services de renseignement dans une grande Direction du Renseignement Intérieur. Si DST, RG, INHES, IHEDN pensent à se rapprocher, cela doit naissance à une chaire « sûreté du tissu industriel » pour mieux accompagner les défis de la globalisation.



Un guichet unique pour les entreprises sur tout le territoire grâce à la nouvelle organisation territoriale que l’on espère ? Pourquoi pas ? Cela existe déjà dans de nombreux lieux et pays. C’est devenu indispensable pour apprendre à se parler et échanger de l’information sans complexe. Etat et entreprises ne peuvent plus se permettre de se regarder en chiens de faïence se méfiant l’un de l’autre. Il faut contribuer à renouer des fils dans tous les domaines, y compris dans le judiciaire, y compris dans la présence française à l’étranger avec le MAE avec lequel la décision de principe de faire participer le CDSE aux cellules de crise en cas de besoin a été prise.



Pourquoi ne pas aller plus loin, vers une refonte des procédures d’habilitation des directeurs de sûreté d’entreprise avec plusieurs niveaux ? Ainsi se trouverait matérialisée la réalité que la sécurité du privé est elle aussi de plus en plus hiérarchisée. Ainsi surtout les entreprises seraient fortement incitées à se doter d’un responsable du guichet unique, lequel verrait sa fonction reconnue de facto et largement répandue. Par ce biais très indirect l’Etat participerait à la défense du tissu industriel sans engager aucun de ses moyens.



Les enjeux sont considérables et le CDSE a la ferme intention d’explorer sans tabou les pistes permettant d’y répondre efficacement. Son but étant bien de contribuer, par la reconnaissance d’une fonction encore trop nouvelle aux yeux de beaucoup, à la modernisation de la protection souple et efficace du patrimoine industriel étendu où l’Etat apporterait son soutien actif de façon claire et transparente.



Hervé PIERRE, Vice-Président du CDSE"

---------------------------

(Mai 2008)

"Au jour d'aujourd'hui, une majorité de véhicules d'entreprise ne sont même pas équipés de deux "airbag" ! (Voir pas du tout...) La technologie des véhicules est conçue pour ceux qui sont utilisés par "Monsieur tout le monde" !
Quant à l'entretien et le suivi ??? Essayez, comme je le fais souvent, de faire un "tour" des véhicules utilisés, par exemple, par une entreprise de maçonnerie ? Une entreprise (moyenne) de livraison rapide ? Une entreprise de dépannage ? Etc.
Faites le bilan de :
- l'état des pneumatiques (gonflage, usure...),
- Les rangements de la marchandise,
- Le calage de celle ci,
- L'état et la conformité de l'éclairage,

Faites le "tour" avec les conducteur utilisateurs des véhicules ! Parlez leur de distances de sécurité, d'énergie cinétique, d'alcool, etc...
Vous seriez également surpris !

Mon avis reste quand même que les entreprises ne se sentent pas complêtement concernée par ce "fléau" qu'est l'accident routier au sein de l'entreprise !

Pour les salariés assurés par la branche « accidents du travail » de la sécurité sociale, le nombre de victimes était de 829 en 2005, soit 11% des tués sur la route…


En 2005 : 86265 accidents de trajets et mission ; 10389 incapacités permanentes ; 829 décés ; 5 278 813 journées perdues....

Et les chiffres sont en augmentation...

N'y a-t-il pas un enjeux à ce constat?"

En effet, ce sujet est très important et mérite réflexion. Qu'en pensez vous ?

Toolbox tres utile et simple a mettre en oeuvre pour connaître la réputation de votre entreprise sur le net :

http://www.marketingpilgrim.com/2006/03/online-reputation-monitoring-beginners.html


Bonne continuation

La définition de la crise selon Thierry Libaert est : « La crise est un événement inattendu mettant en péril la réputation et le fonctionnement d’une organisation. »

Les phénomènes de crise s’intensifient et sont de plus en plus médiatisés depuis les années 1980 avec le développement de nouveaux médias comme Internet et la diffusion d’informations en continu.

Le Risk Manager, dans son rôle déjà défini dans l'article "le rôle du Risk Manager dans la gestion de crise", doit être au courant des effets et risques qu'ont différentes stratégies de communication de crise, que nous allons présenter ici.


La reconnaissance
Cette première stratégie consiste à accepter la crise et ce, le plus rapidement possible. Si la presse dévoile la crise en devançant l'entreprise, c'est que la communication de celle-ci est mauvaise et que la crise ne lui appartient déjà plus. Pour mener l'opération, l'entreprise doit donc aller vite et être en mesure de déterminer rapidement si elle est compétente par rapport au moteur de la crise.
De manière générale, la stratégie de la reconnaissance s'appuie sur une communication claire et ferme.
Cette stratégie est encore peu utilisée car il est difficile en effet d'avouer sa responsabilité pour une entreprise. Mais le faire, c'est jouer la carte de la transparence et acquérir une crédibilité auprès des différents publics. Cette stratégie permet également d'éviter une remontée ultérieure d'informations contredisant les premières déclarations. Une situation dans laquelle l'entreprise a énormément à perdre sur le plan de l'image.

Le projet latéral
Cette stratégie cherche à modifier l'angle de vue de la crise. Mais elle doit pouvoir être fondée sur la réalité et des faits concrets pour réussir à déplacer le lieu de débat.
Pour mener à bien un projet latéral, différentes tactiques sont possibles :
- Contre-attaquer et dire à qui profite les faits, soit le plus souvent au concurrent.
- Reporter la responsabilité à l'extérieur, en orientant les faits vers l'administration, le politique...
- Minimaliser sa communication, ou communiquer plus fortement sur un autre registre.
- Souligner le fait que le pire a été évité et que la situation aurait pu être largement plus grave si l'entreprise n'avait agit de telle ou telle manière.
Le projet latéral, qui consiste à déporter la crise en dehors du champ de l'entreprise, doit impérativement s'appuyer sur des éléments tangibles. Dans le cas contraire, son utilisation peut s'avérer bien plus dangereuse que la crise elle-même.

Le refus
La stratégie du refus consiste à affirmer qu'il n'y a pas de crise. Il s'agit alors d'une posture que l'entreprise doit être capable de tenir.
Quatre possibilités s'offrent à l'entreprise dans ce scénario :
- Garder le silence dès le début de la crise, stratégie choisie par les autorités russes lors de l'accident de la centrale nucléaire de Tchernobyl.
- Cesser de parler à partir d'un moment précis et donc ne plus alimenter la crise.
- Avancer le principe du chaînon manquant, comme dans l'affaire des paillotes en Corse, où nul ne sait qui a donné l'ordre initial.
- Minimiser les effets de la crise, à condition d'être le seul interlocuteur à disposer des données. C'est la formule choisie par le gouvernement lors de la canicule de l'été 2003. Mais les statistiques fournies par les Pompes funèbres ont enrayé le scénario.
Les conséquences d'une telle stratégie peuvent s'avérer extrêmement dommageables, aux niveaux juridique et médiatique, si les faits ressurgissent à plus ou moins long terme et avec une nouvelle lecture des événements. Concrètement, ce scénario du pire se traduira dans la plupart des cas par une perte de crédibilité.

(typologie des stratégies selon Thierry Libaert "la communication de crise")

Et oui, le risk management touche à tout, et on peut l'exercer d'une manière, je dirais, supervisatoire, où l'on a un oeil sur tout domaine mais moins en profondeur que la deuxième manière d'exercer le risk management qui est spécialisée à un secteur.
Le risk manager IT fait parti de cette seconde catégorie comme on peut en trouver en QHSE, RH ou encore bien connu en Finance. Ce sont là les quatres secteurs où un risk manager global pourra poster et avoir des interfaces de risk management. Dans mon idéal personnel, il est vrai que ce type de structure me fait rêver, être le Chief risk Officer, et avoir son Risk Manager Finance, son Risk Manager IT, son Risk Manager QHSE. et son Risk Manager RH. Le top!! Mais on est loin encore de ce type d'organisation dans la plupart des entreprises qui pratiquent le risk management.

Après cette note explicative qui en dit un peu plus sur le risk management, nous allons aller plus loin avec cet article qui se concentre sur l'IT risk management.

C'est un extrait du site Continuity Central, en anglais. Je vous le donne parce qu'il est intéressant et me permettait justement d'aborder cette question de spécialisation possible du Risk Management en fonction des aspérités et des profils. Quand je dis que tout le monde peut être risk manager, c'est vrai :-).


Bonne lecture.


" The four myths of IT risk management

Symantec Corp. has released the Symantec IT Risk Management Report Volume II, revealing that awareness of the importance of IT risk management is increasing, however several myths persist. Despite the finding that practitioners are embracing a more balanced approach that encompasses security, availability, compliance and performance risks, misunderstandings of IT risk management can lead to potential IT system failures, and ultimately impacts on business continuity. The report also indicates process issues cause 53 percent of IT incidents, while IT often underestimates the frequency of data loss incidents.

The comprehensive report, driven by the analysis of more than 400 in-depth, structured surveys with IT professionals worldwide, identifies key issues and trends, and analyzes and dispels the following four myths commonly associated with IT risk:

- The myth that IT risk management is focused only on IT security;
- The myth that IT risk management is project driven;
- The myth that technology alone can manage IT risk;
- The myth that IT risk management has already become a formal
discipline.

Myth one: IT risk is security risk
Despite traditional perceptions associating IT risk primarily with security risks, survey results indicate the emergence of a broader view among IT professionals. Of the survey respondents, 78 percent gave ‘critical’ or ‘serious’ ratings to availability risk as opposed to security, performance and compliance risks, with 70, 68 and 63 percent respectively. The fact that only 15 percent separate the highest and lowest scoring risk-types indicates that IT professionals are adopting a more balanced, less security-centric view of IT risk.

The report findings confirmed that security and compliance risks often attract attention because of their high visibility and impact - 63 percent of respondents rated data loss incidents as having a serious impact on their business. However, increased emphasis is being placed on availability risks, which the report shows can flow through the value chain and create impacts measuring in millions of dollars, even from minor performance issues. Researchers at Dartmouth and the University of Virginia recently determined that a hypothetical Supervisory Control and Data Acquisition (SCADA) network failure at an oil refinery would result in an estimated economic impact of $405 million, with the supplier only bearing $255 million of the impact while others in the supply chain would assume the remaining loss (http://www.ists.dartmouth.edu/library/207.pdf).

Myth two: IT risk management is a project
The myth that IT risk management can be addressed in a single project, or even as a series of point-in-time exercises across budget periods or years, ignores the dynamic nature of the internal and external IT risk environment. IT risk management should be approached as an ongoing process in order to keep pace with the changing landscape businesses face today. IT security, availability, compliance and performance incidents can impact the modern organization at an alarming rate. The report revealed the following regarding the frequency of different types of IT incidents:

- 69 percent expect a minor IT incident once a month;
- 63 percent expect a major IT failure at least once a year;
- 26 percent expect a regulatory non-compliance incident at least once a
year;
- 25 percent expect a data-loss incident at least once a year.

The report shows that the most effective organizations take a more holistic approach. However, many organizations appear to be failing to implement some fundamental risk management controls, such as asset classification and management, where only 40 percent of participants rate their performance as 75 percent effective or higher. In addition, only 34 percent of participants believe that they have an up-to-date inventory for their wireless and mobile devices, which are essential in today's business world.

Myth three: technology alone mitigates IT risk
While technology plays a critical role in risk mitigation, the people and processes supported by technology also determine the effectiveness of an IT risk management program. According to the report, process issues cause 53 percent of IT incidents. Several controls also showed a decline in ratings from the previous report one year ago, causing increasing concerns. For instance, process controls such as training and awareness decreased from nearly 50 percent in Volume I to only 43 percent of respondents rating their training and awareness programs as more than 75 percent effective.

Similar to Volume I, the new report also shows very little improvement for the low rating of the asset and inventory classification control.

Finally, only 43 percent of participants rate data lifecycle management ‘greater than 75 percent’ effective, a 17 percent decline from Volume I. Weakness of these controls suggests that assets will be treated equally, so that some systems, processes and objects will be overprotected and others under protected from IT risk, resulting in cost and service inefficiencies.

Volume II of the IT Risk Management Report highlighted a 10 percent improvement in the number of participants rating secure application development ‘more than 75 percent effective.’ The report also signals that problem management is rising on the agenda.

Myth four: IT risk management has already become a formal discipline
The report makes it clear that IT risk management is an evolving business discipline, rather than a precise science, due to reliance on the experience accumulated by individuals and organizations as they keep pace with a changing business and technology environment. There is a growing understanding that IT risk management incorporates elements of operational risk management, quality control and business and IT governance. In addition, practitioners may come to see IT risk management as a set of fixed principles and relationships, universally applicable across industries and geographies.

Industry differences
The report also sheds light on the state of IT risk management within particular industries. Highlights include that healthcare participants expected the most IT incidents of any industry sector. Given the complexity and highly personal nature of healthcare services, as well as stringent compliance requirements, this is cause for some concern. Telecommunications ranked highest in deploying IT risk management controls, followed closely by banking and financial services. This success is likely driven by increased governance and compliance scrutiny of these sectors and concerns over the protection of personal data.

The Symantec IT Risk Management Report Volume II is available at http://www.symantec.com/business/theme.jsp?themeid=itrisk_report

Voici le résumé d'un rapport de Deloitte et partners intitulé "Risk Intelligence of outsourcing and offshoring".

Désolé, c'est en anglais.


"The global information technology and business process outsourcing market is approaching US$600 billion and is growing rapidly. In today's global economy, investments in outsourcing and offshoring initiatives have never been higher, or more critical to organizational success. To help companies address today's significant outsourcing and offshoring risks and maximize the value of their outsourcing and offshoring strategy, Deloitte has published a new whitepaper titled, ‘The risk intelligent approach to outsourcing and offshoring.’

Corporations are facing dramatically increasing risks as they rely more than ever on other parties and/or offshore entities for a growing number of business and information technology processes. The paper, the eighth in the Deloitte Risk Intelligence series, identifies several trends that have increased outsourcing and offshoring risks:

* Companies rely on other parties and/or offshore entities not just for specific projects and back-office functions but more often for core business processes.

* Increased competition for global talent has contributed to shortages of qualified talent.

* Regulatory developments have increased exposure to liability for malfeasance or misfeasance. In some cases, senior management and the board can be held accountable for non-compliance associated with operations of organizations hired to serve the interests of the company.

* Piracy, security breaches and theft of information can erode brand value, intellectual property and other intangible assets, in which companies have heavily invested in recent years.

* A volatile political environment or infrastructure limitations in some popular offshore locations can preclude effective and efficient operations.

* Outsourcing relationships often morph into de facto partnerships, albeit without the analysis, reporting, visibility and control that typically characterize true partnerships.

"To deal with such complex and dynamic risks, companies must employ a risk intelligent approach to guide decision making throughout the outsourcing/offshoring life cycle," said Mark Layton, global leader for Deloitte's Enterprise Risk Services practice. "Aligning objectives, risks and controls throughout the outsourcing/offshoring lifecycle enables organizations to identify, assess, prioritize and mitigate outsourcing/offshoring risks at the right stage."

The Deloitte report identifies the following critical stages within the lifecycle of an offshoring/outsourcing relationship and addresses in detail the most important risks around each:

* Strategic assessment: deciding whether, why and how outsourcing/offshoring may support your business strategy.

* Business case development: analyzing expected cost savings and other financial and operational benefits of the initiative.

* Vendor selection: choosing a vendor according to criteria related to the strategic assessment and the business case.

* Contracting: negotiating a contract that captures the needs and expectations of both parties, and addresses compliance and risk factors identified in the previous three stages.

* Service transition: Managing the migration, or initiation, of the service in the vendor or offshore location. Monitoring the ongoing performance and risk of the relationship according to the contract and service level agreements as well as for the attainment of strategic objectives.

"Many outsourcing and offshoring initiatives fail to live up to their potential or the expectations of the parties. Even worse, a fair number of them fail outright, leading the company to either pull the operations back in house or to start anew in the search for a reliable, mutually beneficial partner. A Risk intelligent approach can help organizations realize the expected benefits and improve relationships among constituents impacted by outsourcing/offshoring," said Peter Lowes, Outsourcing Advisory Services leader, Deloitte.

‘The Risk Intelligent Approach to Outsourcing and Offshoring,’ along with the previous white papers in the Risk Intelligence series, may be accessed free of charge at www.deloitte.com/RiskIntelligence"

Pour continuer dans la lancée de connaissance toujours plus approfondie du Risk Management pour professionnels et pour novices, sachez que les entreprises en croissance ne sont pas à l'abri des risques. En d'autres terme, le risk management ne s'adresse pas que pour des entreprises en difficulté ou des questions financières.

Tout le temps, partout, l'entrepreneur doit avoir sa carte détection et gestion des risques dans la poche.

1/ Les risques financiers liés à la distribution des richesses. Quel choix va t il être pris, celui de distribuer aux actionnaires, aux salariés, ou à l'investissement. Chacune de ses options présente des risques, mais selon certaines configurations comprenant le secteur, l'historique, la culture etc, certains risques sont plus graves que d'autres (propention et exposition au risque).

2/ Les risques humains sont très importants dans ce genre de situation, et prouvent bien que le risk management n'est pas que financier, au contraire. Dans ces risques humains, notons d'abord les risques vis à vis du comportement des dirigeants. Il est commun de voir certains de ces derniers quitter le navire quand il est en croissance. C'est une logique économique. On ne vend pas ce qui ne vaut rien, on vend quand ça rapporte. Vendre sa place ou son entreprise, pour autre chose de mieux est bien souvent l'option prise par les dirigeants.
C'est un risque qui n'a cependant que de minimes impacts selon moi, dans la mesure où, le dirigeant qui s'est battu pour faire croitre cette entreprise, qui vend sa place ou l'entreprise elle même parce qu'elle lui rapporte de par sa valeur actuelle, prévoit un minimum sa succession pour ne pas entraîner de désordres irréparables par la suite.
Mais c'est à garder en mémoire et à anticiper vis à vis de votre vulnérabilité.
Côté dirigeant toujours, ces derniers restent mais ils peuvent avoir deux réactions à risques : soit ils en profitent pour déléguer le plus possible, or cela entraîne une déresponsabilisation de ces cadres dirigeants et une trop forte pression sur les opérationnels qui ne sont pas rémunérés en conséquence, et qui en cette période de croissance exigent encore plus cette possible hausse de leur salaire. Donc mécontentement généralisé, et mauvaise image de l'entreprise. Soit les dirigeants se sentant investis et seuls compétents monopolisent et délèguent très peu. Dans ce cas, il y a risque d'irresponsabilisation des opérationnels...

Les risques humains vont surtout porter sur les employés et cadres A-B. Nous sommes bel et bien dans une entreprise en croissance, qui va bien et pourtant, pour une partie des employés ce peut être un cauchemar. D'une part, prendre en compte ceux qui ont participé au projet qui a permis à l'entreprise de croître. Un non suivi de ces personnes entraîne une démotivation et une morosité qui se transmettra car la non reconnaissance n'est jamais bien vue. Plus grave, il y a une plus grande partie d'employés non récompensés et surtout non reconnus pour leur travail. En se basant sur les études du suicide anomique du Sociologue français Emile Durkheim qui constatait que nombre de suicides se faisaient en période de croissance économique car certaines personnes n'étaient pas impliquées dans cette croissance, ne profitant pas des surplus, et de par un sentiment de frustation, d'abandon et d'inutilité, s'autoexcluaient, il est possible de l'appliquer au monde de l'entreprise.

Il est donc important de prendre en compte, d'une la reconnaissance, et de deux un partage, s'il est méritocratique, au moins accompagné d'une motivation et activation, plutôt qu'un laissé pour compte, des autres employés.

Il n'est pas dit que chez Renault, les suicides successifs de ces ingénieurs ne soient pas dû à ce mécanisme. Ils ont fortement travaillé, sous la pression de surcroit, mais cela ne suffit pas forcément pour se suicider. La plupart devaient aimer leur travail et aimer le travail tout court. Mais n'avoir aucune reconnaissance dans ce site très impersonnel, ou personne ne se connaît et reconnaît, une frustation naît chez ses ingénieurs qui voient d'autres fonctions en profiter (les commercials d'ailleurs car la voiture une fois conçue est vendu, et c'est la phase du bonheur des commerciaux). si ce n'est pas de part les commerciaux, c'est par la satisfaction du manager d'avoir mené son projet à terme, et avec succès au mépris des ingénieurs qui attendent encore leur reconnaissance.

donc facteur très important, surtout dans des pays comme le notre, la France, mais aussi bine d'autres, où se genre d'incidents touche des valeurs importantes.


3/ Les risques de pilotage sont aussi très importants. Accroître son entreprise c'est adapter son système de pilotage (SI, reporting, Authority Limits et les indicateurs qui vont bien). Or, le risque est de sur dimensionner ou de sous dimensionner ce système. Autrement, perte d'information, perte de qualité dans les décisions, déficit de communication sur ces décisions : irresponsabilisation des opérationnels, perte de conscience de l'implication sur un projet etc. Je rajouterai qu'il est nécessaire de l'adapter aussi à l'ampleur future de la croissance estimée, au cas où il pourrait y avoir un retournement de situation, pour éviter de se retrouver dans un cas de sur dimensionnement ou sous dimensionnement du système de nouveau.

4/ Enfin, votre entreprise est partie de A, avec une structure, elle arrive pour l'instant à C, il lui faut une nouvelle organisation. Ce changement logique n'est pourtant pas simple. De nombreux risques découlent d'un tel changement dont le premier est la complexification des systèmes de pilotage comme nous avons pu le voir.
Si vous partez d'une entreprise qui a une structure entrepreneuriale simple ou bureacratique, et que vous faite une croissance exogène, vous allez intégrer des élements extérieurs, vous organiser en Business Unit, et devenir une entreprise de type "Balkanisée" ou divisionnalisée. Cette situation n'est pas sans risque car elle pose des barrières pour l'information et donc pour la fluidité du Système de pilotage. Si les BU sont concurrentes, le risque est encore plus grand.
Dans le cas d'une entreprise de type innovatrice, très portée sur les projets, dont les rôles sont faiblements définis, une croissance endogène va faire passer l'organisation en type bureaucratique. Dans ce cas, on passe d'une standardisation des méthodes pour faire aboutir un projet, à une standardisation des procédés voir des qualifications. Chacun aura un rôle prédéfini, fera sa tâche selon des procédés précis, entraînant alors une dégradation de la vision de projet, la démotivation, la frustation, le départ...
Enfin, je dirai que le risque principal de croitre pour une entreprise, est d'avoir à rajouter une trop importante couche structurelle pour palier au dépassement de la taille critique. Si cela n'a pas été prévu, vous accumulez tous les risques...




Avec toutes mes félicitations tout de même pour cette croissance.

Pour maîtriser leurs risques, les entreprises ne peuvent plus se contenter de bien gérer les polices d'assurances. Le métier de Risk Manager consiste aussi à identifier les menaces et à imaginer les scenarios de sortie de crise.
(07/11/2007)


Le Risk Management est l’activité qui consiste à évaluer le risque en entreprise puis à développer les diverses stratégies destinées à le garder sous contrôle. Ces stratégies vont du transfert du risque à l’évitement en passant par la réduction des effets néfastes et l’acceptation de certaines conséquences du risque.

Si l'on s'amuse à dresser un rapide historique du Risk Management, on s'aperçoit que trois périodes distinctes ont précédé les années 2000 :



- A la fin des années 1980, le Risk Management s'apparentait surtout à une simple gestion des sinistres, avec éventuellement un suivi plus ou moins prononcé des polices et des primes d'assurance ;



- Au début des années 1990, les besoins s'élargissent : les Risk Managers commencent à effectuer une gestion beaucoup plus globale des assurances (polices, primes, sinistres). Parallèlement, on assiste à la mise en place de mesures de prévention et à l'élaboration de plans de survie pour contrer les crises ("Business Continuity Plan") ;



- A la fin des années 1990, de nouveaux enjeux viennent compléter l'activité des Risk Managers : c'est l'émergence de la gestion des risques proprement dite, avec notamment le développement de la notion de "cartographie des risques". Il s'agit désormais d'identifier les risques (résiduels, cibles ou bruts), de les évaluer, de définir des mesures de contrôle et de simuler différents scenarios d'incidents à analyser.



Les Risk managers sont donc aujourd'hui confrontés à une double problématique : la gestion des risques et la gestion des assurances.



Même si en théorie, l'assurance n'est qu'un des moyens de traitement du risque, on observe dans la pratique que les entreprises gèrent ces deux domaines séparément. Pourtant, gestion des risques et gestion des assurances sont des notions incontestablement complémentaires pour qui veut garantir la pérennité de son entreprise. Dès lors, le Risk Manager doit faire face à d'importants flux de données. Car si la gestion des risques s'attache davantage à la cartographie des risques, au plan de prévention, aux contrôles, aux incidents etc., la gestion des assurances est quant à elle directement liée à l'achat de garanties, au calcul des primes et à leur ventilation, au suivi des paiements ainsi qu'à la gestion des sinistres.



Dans ce contexte, la maîtrise de l'information est indispensable à la bonne gestion des risques et des assurances d'une société. La mondialisation et la multiplication des grands groupes industriels particulièrement exposés aux risques compliquent encore la consolidation des données généralement disséminées entre les différentes filiales internationales. La collecte, le traitement et la diffusion de l'information nécessitent donc très souvent la mise en place d'outils informatiques spécifiques.



Le perfectionnement des nouvelles technologies a permis le développement de logiciels adaptés et performants permettant de :

- collecter et partager efficacement toutes les informations,

- gérer l'ensemble des missions évoquées ci-dessus, celles qui relèvent de la gestion des risques autant que celles qui traitent de la gestion des assurances,

- analyser les données afin de définir ou d'affiner la politique de Risk Management tout en optimisant au maximum le coût global du risque.



Du fait de cette double problématique, le Risk Management apparaît donc comme un enjeu primordial pour les entreprises. C'est un véritable outil de pilotage opérationnel et d'aide à la décision stratégique qui nécessite un soutien actif des plus hautes instances du groupe, une communication soutenue entre ses différents acteurs ainsi qu'un travail de mise à jour permanent."

Pascal Stopnicki
Directeur Général d'effisoft

Article paru dans le JDN.

En cette période d'instabilité et de difficultés économiques, cet article à pour but de guider les entreprises dans leur réduction de coûts pour limiter les risques associés.


Il est un premier conseil à donner qui est de suivre cette hiérarchie, quelque soit la structure de l'entreprise :

Frais généraux => Bâtimens => Achats => Process => Personnel.

Les réductions de coùuts sur le personnel sont le dernier recours. Que vous soyez une entreprise avec un surnombre d'employés, passer tout de même par cette hiérarchie. En faisant de premières économies, vous réduirez le nombre de personnes à licencier, avec les risques sociaux et d'image qui vont avec, tout en vous permettant de conserver une force productive et des économies de moyen et long termes réalisées.


1/ Les réductions de coûts sur les frais généraux

Le principe est bien connu, c'est d'avoir les moyens adaptés à sa structure. L'action portera sur les frais de déplacement, de communication et d'impression, et les coûts immobilier.

a - Les réductions de coûts de déplacement et de représentation

Découpage en fonction de catégorie (frais liés au client, et frais de structure que sont les déplacements interne), suivi régulier des indicateurs, Politique (pour fixer les montants, cadre d'utilisatioin des moyens de transport…) qui doit être cohérente avec l'activité de l'ets.


Attention au risque social lié à une résistance des managers.


b - Réduction des coûts de communication et d'impression

Côté coûts de communication, passez par des abonnements spécialisés, surveillez les factures et l'utilisation abusive des 3G alors qu'une connexion gratuite à internet est à portée, le coût des téléphone portable (toujours ramener les choses à leur utilité, si le moyen est top couteux par rapport à ce qui doit être fait, alors il y a une perte en terme de qualité)

Côté coût d'impression, il y a les économies sur le matériel et sur les consommables. Sensibilisez les employés, contrôlez la disposition du parc en évitant notamment les pratiques courantes 1 imprimante par bureau.

Il y a un risque social encore.

c - Réduction des coûts immobiliers

Renégociation des loyers, ou déménagement dans une zone géographique moins honéreuse. Mais attention, la réduction de l'espace via les technologies ne permettant pas encore de faire Paris Moscow en 1 heure, partir loin du lieu d'origine est une délocalisation. Parfois même, au sein du même pays, mais dans une région différente peut être vue de la même manière. La différence est le licenciements des employés. Partir loin signifie aussi se détacher de ses employés qui ne peuvent pas suivre.

Le déménagement doit se faire donc au profit d'une zone moisn couteuse mais proche, comme quitter le centre ville pour partir en périphérie.

Risque de ne pas bien calculer l'opération, et de mettre trop de temps à la rentabiliser du fait des coûts liés au déménagement en lui même. D'autre part, il y a un risque social car les employés voient certaines pratiques quotidiennes et habitudes se modifier. Il y a également le risque de voir les frais de déplacement et de représentation augmenter, ainsi qu'une perte d'image (prestige du quartier).


2/ La réduction des frais financiers et l'optimisation des achats


a - la réduction des frais financiers.

Il est tout d'abord évident qu'il faille limiter son Besoin en fond de Roulement. Ensuite, il faut optimiser sa trésorerie en limitant les coûts de gestion liés. Pour cela il existe des techniques comme le Netting (passage par une sorte de chambre de compensation, gérée le plus souvent par une banque, et qui évite les flux de trésorerie contraires entre les filiales en ne réglant que les soldes. Si A doit à B 200, et B à A 300, à une date déterminée, A ne recevra que 100), ou le Cash pooling qui consiste à centraliser la trésorerie de toutes les filiales, tout se fait via ce compte.

Les risques sont la résistances des directions de filiales et le risque social des employés de services de trésorerie.


b - Optimisation des achats.

Prenez un acheteur professionnel qui aura l'habitude et qui connaitra les marges de négociation dont il dispose avec le fournissuer. Un acheteur pro du même secteur est encore mieux. Ensuite, il est conseillé par les credit manager d'en changer régulièrement car ces derniers lient des liens de sympathie avec les fournisseurs et la productivité des négociations se fait moindre.

Pensez aux risques d'excès de pression sur les prix avec les les fournisseurs car ces derniers vont trouver une parade pour préserver les bons comptes, exposant l'entreprise à de nouveaux risques.


3/ Process, externalisation et SI

Cette phase est l'avant dernière car les opérations de réduction de coût entraînent une possibilité plus importante de réduction du personnel.

a - La réorganisation des process

Pour réduire les coûts, pensez à la refonte des process pour une optimisation des tâches et au passage à un mode dégradé. Il restera des personnes déliées de leurs anciennes tâches mais il est possible de les transférer dans un service en manque de personnel, ou de les licencier.

Faites attention au risque de tomber dans la zone de criticité et de non tolérance des process clés à la dégradation. Prenez en charge le risque social également avec le changement de service ou le licenciement.

b - l'externalisation

faire de l'Outsourcing permettra une réduction des coûts car ce sont des spécialistes, avec une économie d'échelle et une optimisation des compétences qui accompagnent.

Elle entraîne cependant certains risques comme la perte de maîtrise des process, ou encore de ne plus être un client prioritaire pour le soustraitant, et enfin risque d'augmentation non maitrisée des coûts (nouveaux postes interface, SI et remplacement quand le soustraitant en change, frais gx, communication..).

c - Le système d'information

D'une part, il y a la mise en place d'un SI pour réduire les coûts grâce à une automatisation des traitements (cas Heineken est un bon exemple). D'autre part, il y a les réduction des coûts des SI car c'est un investissement très couteux et très lourd à gérer.
Réduction de coûts sur le système ( ce qui est rare), sur le réseau (encore plus rare et non recommandé), le logiciel (gratuit possible) et réel travail à faire sur les contrats de soustraitants.

risque de dépendre d'un système qu'il faut maintenir parce qu'il peut s'interrompre ou dysfonctionner, ce qui rend la problématique bien plus importante.


4/ La réduction de coûts de personnel

Si la gestion des RH a été bien pensée, il doit y avoir une partie de la masse salariale qui est flexible (intérim, soustraitants, CNE). Ensuite, s'il s'agit d'une non atteinte des résultats, l'économie doit commencer par les variables du salaire. Si cela ne suffit toujours pas, pensez alors aux licenciements individuels (>10 c'est un plan social), pratique pour les gros salaires (pensez d'aillerus d'abord à licencier par le haut de la hiérarchie avant d'attaquer directement les opérationnels). Et enfin, dernier palier, le Plan de Sauvegarde de l'Emploi (ex plan social).

C'est ici que les risques sont les plus grands. Risque social tout d'abord avec la perte de motivation, perte de productivité, grêves, sabotages... Ensuite, il y a les risques d'image et de culture de promotion interne dans l'après plan social. Et enfin, le risque opérationnel avec la perte des key people et la mise en situation critique de certains processus (penser à les réorganiser dans ce cas cf ci dessus).



Voila, en espérant que cela pourra vous aider dans vos décisions, et surtout que sera éviter des licenciements improductifs, incompris, et destructeurs.